corsを有効にした時のリスク

誰を守るための機能か

ユーザー

cors制限があると，クライアントサイドで，同一ドメインでないとデータを取得できない

ドメインをみて認証しようとしているサーバー側

こういう実装をしているところもあるかもしれない

サーバー側のホワイトリスト

意図しないドメインから呼び出されていないか

fetchで認証のcookieも飛ぶのか

なので本人が意図せず、権限が本来必要なURLを勝手に叩かれてしまう可能性がある

トークンフリーのURLなら失うものないと思うけどね

これは怖い

cookieのsamesite設定でも制御できるみたい

大体困ってるのは，そもそもAccess-Control-Allow-Originが登録されていない例